Проекты
Email-рассылки
YouTube: «Это Осетинская»
Bell.Club
YouTube: Bell.Club Live
Bell.Professional
IN SCHOOL
РАССЫЛКИ
Утренняя
Вечерняя
Итоги недели
Технорассылка
The Bell in English
СОЦСЕТИ
Facebook
ВКонтакте
Одноклассники
TELEGRAM
The Bell
Что мне с этого?
The Bell Tech
TWITTER
The Bell
The Bell in English
О НАС
О проекте
Команда и контакты
Конфиденциальность
КОММЕРЦИЯ
Партнеры
Рекламодателям
Новости

Эксперты предупредили о «крайней уязвимости» мобильных банков для хакеров

20 ноября 2018
Редакция The Bell

Мобильные и онлайн-банки крайне уязвимы для мошенников, используемая в них система рассылки одноразовых паролей через SMS может быть относительно легко скомпрометирована, пишет «Коммерсант» со ссылкой на экспертов по кибербезопасности. В 2015 году доля банковских систем с критическими уязвимостями составляла 90%, в 2017-м — уже 56%.

О самых распространенных уязвимостях российских онлайн-банков рассказали специалисты компании Bi.Zone — дочерней компании Сбербанка, созданной для борьбы с киберугрозами. Список дополнили сотрудники других компаний в области информационной безопасности. В него вошли:

  • Рассылка одноразовых паролей через SMS для входа в личный кабинет в мобильном или онлайн-банке. Это «порочный путь», говорит ведущий специалист по тестированию на проникновение Bi.Zone Аркадий Литвиненко. Так, по поддельной доверенности или скану паспорта жертвы можно получить дубликат SIM-карты, а устройства для перехвата SMS стоят относительно недорого — от $700.
  • Еще одна уязвимость с SMS связана с подтверждением транзакций. Чаще всего банки используют одноразовые пароли из SMS из четырех цифр, а в случае трижды неверно введенного пароля операция блокируется. Но можно действовать наоборот: перебирать транзакции под пароль (например, 5555), создав множество операций по списанию средств со счета клиента. «При подборе 16 тысяч трансакций вероятность угадать пароль — 99%», — отмечает Литвиненко. Клиенту будет сложно не заметить 16 тысяч SMS от банка с одноразовым паролем, но полностью исключать этот метод нельзя: жертва может находиться в отпуске или просто спать.
  • Получить доступ к личному кабинету в онлайн-банке также можно через фишинговые письма и другое вредоносное ПО, добавляет руководитель лаборатории практического анализа защищенности Центра информационной безопасности «Инфосистемы Джет» Лука Сафонов.
  • Ради удобства клиентов некоторые банки не ограничивают сессию пользователя при входе в мобильный банк или делают очень долгой — в таком случае мошенники могут получить доступ к мобильному банку, например, если клиент банка пользуется общественным Wi-Fi, указывают эксперты.
  • Еще один опасный момент — когда приложение мобильного банка (также для удобства клиента) запоминает пин-код для входа в приложение и вставляет его автоматически. «Взлом или кража телефона плюс автоматический ввод пароля дает злоумышленнику доступ к банковскому аккаунту», — говорит Литвиненко. Впрочем, код можно установить тем же методом подбора, уточняет он.
  • Тем не менее доля банковских систем с критическими уязвимостями последовательно снижается — в 2015 году их было 90%, в 2017 году — уже 56%. Средняя цена «входа» хакера в мобильный банк — около $22.

Артем Губенко

#технологии